Es gibt wieder neue Sicherheitslücken in glibc. Dabei betrifft eine die syslog()-Funktion, die andere qsort(). Letztere Lücke existiert dabei seit glibc 1.04 und somit seit 1992. Entdeckt und beschrieben wurden die Lücken von der Threat Research Unit bei Qualys.

Die syslog-Lücke ist ab Version 2.37 seit 2022 enthalten und betrifft somit die eher die neuen Versionen von Linux-Distributionen wie Debian ab Version 12 oder Fedora ab Version 37. Hierbei handelt es sich um einen "heap-based buffer overflow" in Verbindung mit argv[0]. Somit ist zwar der Anwendungsvektor schwieriger auszunutzen, weil in wenigen Szenarien dieses Argument (der Programmname) dem Nutzer direkt überlassen wird, die Auswirkungen sind jedoch umso schwerwiegender. Mit der Lücke wird eine lokale Privilegienausweitung möglich. Die Lücke wird unter den CVE-Nummern 2023-6246, 2023-6779 und 2023-6780 geführt.

Bei der qsort-Lücke ist eine Memory Corruption möglich, da Speichergrenzen an einer Stelle nicht überprüft werden. Hierfür sind allerdings bestimmte Voraussetzungen nötig: die Anwendung muss qsort() mit einer nicht-transitiven Vergleichsfunktion nutzen (die allerdings auch nicht POSIX- und ISO-C-konform wären) und über eine große Menge an zu sortierenden Elementen verfügen, die vom Angreifer bestimmt werden. Dabei kann ein malloc-Aufruf gestört werden, der dann zu weiteren Angriffen führen kann. Das Besondere an dieser Lücke ist ihr Alter, da sie bereits im September 1992 ihren Weg in eine der ersten glibc-Versionen fand.

Bei der GNU C-Bibliothek (glibc) handelt es sich um eine freie Implementierung der C-Standard-Bibliothek. Sie wird seit 1987 entwickelt und ist aktuell in Version 2.38 verfügbar. Morgen, am 1. Februar, erscheint Version 2.39.

Signal bereitet Erweiterungen der Funktionalitäten vor, um die Privatsphäre zu stärken und die Nutzung des Messengers flexibler zu gestalten. Von den kommenden Änderungen profitieren alle Plattformen, diesmal jedoch iOS besonders. Aktuell ermöglicht die neueste Desktop-Version von Signal die Umwandlung von Emoticons in grafische Emojis durch einen einfachen Klick. Darüber hinaus wurde in der aktuellen Android-Version...

Der Beitrag Signal Messenger kündigt neue Funktionen an erschien zuerst auf MichlFranken.

Nach LibreOffice 7.6 folgt LibreOffice 24.2 Community als neue Hauptversion. Es ist die erste Version mit dem neuen Nummerierungsschema (YY.M) verwendet. Natürlich gibt es Neuerungen und Änderungen, die alle in den Veröffentlichungshinweisen im Detail beschrieben sind. Insgesamt haben 166 Personen zu den neuen Funktionen von LibreOffice 24.2 Community beigetragen: 57 % der Code Commits stammen von den 50 Entwicklern, die bei den drei Unternehmen im TDF Advisory Board – Collabora, allotropia und Red Hat – oder anderen Organisationen beschäftigt sind. […]

Der Beitrag LibreOffice 24.2 Community ist veröffentlicht ist von bitblokes.de.

Folge 071 des CIW Podcasts. Aller Anfang ist schwer? Linux für Einsteiger

Ab sofort steht die neueste Version der quelloffenen Office-Suite LibreOffice zum Download für Windows, macOS und Linux bereit.

Aktuelle Studien und Open-Source-Beispiele zeigen, was gute und schlechte Entwicklungsarbeit ausmacht - auch bei KI. Außerdem greift Google die Cloud-Konkurrenz an und Docker beschleunigt Builds von Entwicklern. (DevUpdate, Google)

Darüber hinaus wurden weitere Schwachstellen in der Gnu-C-Bibliothek aufgedeckt. Eine davon existiert wohl schon seit über 30 Jahren. (Sicherheitslücke, Ubuntu)

Die Open Source Business Alliance (OSNB Alliance) begrüßt den Digitalcheck, mit dem Gesetzgebungsinitiativen auf ihre Digitaltauglichkeit überprüft werden sollen.

ONLYOFFICE Docs 8.0 bietet Erstellung und Ausfüllen von PDF-Formularen und gibt dafür das hauseigene Dateiformat OFORM auf.

Quelle

AVM bringt mit FRITZ!OS 7.80 ein Firmware-Update für die vier Modelle FRITZ!Box 5590 Fiber, 5530 Fiber, FRITZ!Box 7590 AX und 7530 AX.

Um Gesetzgebungsinitiativen auf ihre Digitaltauglichkeit hin zu überprüfen, wird seit 2023 der Digitalcheck unter der Federführung des Bundesministeriums des Innern und für Heimat (BMI) entwickelt und betreut. Die OSB Alliance hat jetzt einen Vorschlag vorgelegt, wie der Digitalcheck um Aspekte von digitaler Souveränität, Open Source Software und offenen Standards ergänzt werden kann, um die Verwaltungsdigitalisierung nachhaltiger und effizienter zu gestalten.

Quelle

ONLYOFFICE veröffentlicht Version 8.0 mit neuen Features, darunter die Erstellung und Ausfüllung von PDF-Formularen, verbesserte Barrierefreiheit durch vollständige Screen-Reader-Nutzung und Unterstützung von bidirektionalem Text. Weitere Funktionen wie Zielwertsuche und überarbeitete UI-Plugins sind integriert.

Quelle

Ein Jahr mussten die Fans von Vanilla OS auf die zweite Veröffentlichung dieses Next-Gen-Betriebssystems warten. Jetzt liegt eine Beta zum Testen vor.

Quelle

Die quelloffene Cloud-Office-Lösung Onlyoffice bringt Version 8.0 ihrer Dokumenteneditoren als Online- und Desktop-Applikation.

Amazon sucht derzeit Entwickler, um den Wechsel weg vom Android-basierten Fire OS vorzunehmen. Das deutet auf ein neuartiges Fire-TV-Gerät hin. (Fire TV, Amazon)

Wegen des eingeschränkten Quellcodezugriffs kann die CentOS-Community derzeit keine zusätzlichen Kernel-Module für RHEL-Nutzer verteilen. (CentOS, Linux-Kernel)

Ab sofort gibt es die spezielle Linux-Distribution Tails 5.22 (The Amnesic Incognito Live System) mit neuen Funktionen. Beim Tor Browser kannst Du ab sofort Dateien in mehr Ordnern speichern. Das sind: Dokumente, Downloads, Musik, Bilder und Videos. Zudem kannst Du Dateien auch aus diesen Ordnern hochladen. Das ist eine ziemliche Erleichterung, muss ich zugeben. Bisher musste ich Dateien immer jonglieren und an einen Ort kopieren oder verschieben, den ich mit Tor Browser benutzen konnte. Das war mitunter ganz schön nervig. […]

Der Beitrag Tails 5.22 mit neuen Funktionen – sämtlicher Traffic durch Tor ist von bitblokes.de.